Die Schwachstelle betrifft die Securly-Erweiterung für den Chrome-Browser, die als Jugendschutz- und Filterlösung Webadressen mit hinterlegten Sperrlisten abgleicht. Für diesen Abgleich – sowohl beim Erkennen von Adressen mit Darstellungen sexuellen Kindesmissbrauchs (IWF-CSAM-Liste) als auch beim Abgleich gegen die CIPA-Sperrliste – verwendet die Erweiterung das Hashverfahren SHA-1. Dieses Verfahren gilt als veraltet und kryptografisch geschwächt, weil sich gezielt Kollisionen erzeugen lassen, also unterschiedliche Eingaben mit identischem Hashwert. Dadurch kann der Listenabgleich unterlaufen werden: Eine Adresse lässt sich so gestalten, dass sie an der Prüfung vorbeikommt, oder die Zuordnung von Hashwerten zu gesperrten Inhalten wird unzuverlässig. Im Ergebnis kann die Filterfunktion umgangen oder ausgehebelt werden, sodass eigentlich zu blockierende Inhalte erreichbar bleiben. Betroffen sind Umgebungen, in denen diese Browser-Erweiterung zur Inhaltsfilterung eingesetzt wird.